Daten für Cloud IAM-Empfehlungen exportieren

Auf dieser Seite wird erläutert, wie Sie die Daten exportieren, die der Cloud IAM-Recommender zum Generieren von Empfehlungen verwendet.

Weitere Informationen zum Cloud IAM-Recommender finden Sie in der Übersicht zum Cloud IAM-Recommender.

Informationen zum Deaktivieren des Cloud IAM-Recommenders oder eines anderen Recommenders finden Sie unter Empfehlungen deaktivieren.

Zur Erstellung von Empfehlungen verwendete Daten exportieren

Die Rollenempfehlung von Cloud IAM verwendet persönliche Metadaten, die während der Nutzung von Diensten in Google Cloud gesammelt werden, um Empfehlungen zu geben. Diese persönlichen Metadaten können für jedes Projekt in einer Organisation nach BigQuery exportiert werden.

So können Sie den BigQuery Data Transfer Service for Recommender verwenden, um persönliche Metadaten zu exportieren, die für Empfehlungen verwendet wurden:

BigQuery Data Transfer Service-Konfiguration für den Cloud IAM Role Recommender

Konfiguration Beschreibung
Zeitplan Alle 24 Stunden, nicht konfigurierbar
Berichtszeitraum Letzte 2 Tage, nicht konfigurierbar
Maximale Backfill-Dauer Letzte 60 Tage

Vorbereitung

Führen Sie folgende Aktionen aus, bevor Sie eine Recommender-Datenübertragung erstellen:

  • Prüfen Sie, ob Sie alle erforderlichen Aktionen ausgeführt haben, damit Sie den BigQuery Data Transfer Service aktivieren können.
  • Sie müssen BigQuery Data Transfer Service die Berechtigung erteilen, Ihre Übertragung zu verwalten.

  • Erstellen Sie ein BigQuery-Dataset zum Speichern Ihrer Daten.

    • Derzeit werden nur Datasets in den USA und der EU unterstützt.
    • Die von Ihnen eingerichtete Übertragung verwendet dieselbe Region, in der das Dataset erstellt wird. Sie ist unveränderlich, sobald das Dataset und die Übertragung erstellt wurden.

Erforderliche Berechtigung

Zum Exportieren von Daten sind die folgenden BigQuery-Berechtigungen erforderlich:

  • bigquery.transfers.update: Erlaubt die Erstellung der Übertragung
  • bigquery.datasets.update: Erlaubt Aktualisierungsaktionen für das Ziel-Dataset

Erteilen Sie entweder die Rolle BigQuery-Administrator (roles/bigquery.admin), die diese beiden Berechtigungen enthält, oder erstellen Sie eine benutzerdefinierte Rolle mit diesen Berechtigungen.

Die folgenden Recommender-Berechtigungen sind für das Exportieren von Daten erforderlich:

  • dataProcessing.iamAccessHistory.exportData: Erlaubt das Exportieren von Daten

Erteilen Sie entweder die Rolle Datenverarbeitungs-Exporter für IAM-Zugriffsverläufe (roles/dataprocessing.iamAccessHistoryExporter), die diese Berechtigung enthält, oder erstellen Sie eine benutzerdefinierte Rolle mit dieser Berechtigung.

Datenübertragung für persönliche Metadaten erstellen, die für Empfehlungen verwendet werden

  1. Öffnen Sie die Cloud Console.

    Zur Cloud Console

  2. Als Erstes müssen Sie die Datenquelle IAM Recommender Aggregated Access Transfers anmelden.

  3. Klicken Sie im Navigationsbereich auf BigQuery.

    Sie können die BigQuery-Web-UI auch direkt öffnen, indem Sie die folgende URL in Ihren Browser eingeben.

    https://console.cloud.google.com/bigquery

    Durch Klicken auf die Schaltfläche unten wird die BigQuery-Web-UI direkt mit dem zuletzt aufgerufenen Projekt geöffnet.

    Zur BigQuery-Web-UI

  4. Klicken Sie auf Transfers (Übertragungen).

  5. Klicken Sie auf Create Transfer (Übertragung erstellen).

  6. Klicken Sie auf die Seite Übertragung erstellen (Übertragung erstellen).

  7. Wählen Sie im Abschnitt Source Type (Quelltyp) für Source (Quelle) die Option IAM Recommender Aggregated Access (aggregierter IAM Recommender-Zugriff) aus:

  8. Geben Sie im Abschnitt Transfer config name (Konfigurationsname für Übertragung) für Display name (Anzeigename) einen Namen für die Übertragung wie My Transfer ein. Der Übertragungsname kann ein beliebiger Wert sein, mit dem Sie die Übertragung einfach identifizieren können, wenn Sie sie später ändern müssen.

  9. Übernehmen Sie im Abschnitt Schedule options (Zeitplanoptionen) für Schedule (Zeitplan) den Standardwert Start now (Jetzt starten) oder klicken Sie auf Start at set time (Zu festgelegter Zeit beginnen).

    • Wählen Sie für Repeats (Wiederholung) eine Option aus, wie oft die Übertragung ausgeführt werden soll.
    • Wenn Sie eine andere Option als "Daily" (Täglich) auswählen, sind zusätzliche Optionen verfügbar. Wenn Sie beispielsweise Weekly (Wöchentlich) auswählen, wird eine Option zur Auswahl des Wochentags angezeigt.
    • Geben Sie für Start date and run time (Startdatum und Laufzeit) das Datum und die Uhrzeit für den Start der Übertragung ein. Wenn Sie Start now (Jetzt starten) auswählen, ist diese Option deaktiviert. Es dauert einen Tag, bis die neu erstellte Übertragung startet, wenn Sie Start now (Jetzt starten) im Zeitplan auswählen.

  10. Wählen Sie im Abschnitt Destination settings (Zieleinstellungen) für Destination dataset (Ziel-Dataset) das Dataset aus, das Sie zum Speichern Ihrer Daten erstellt haben. Die Übertragung wird in derselben Region wie das Dataset ausgeführt. Wenn Sie nach dem Erstellen der Übertragung das Dataset bearbeiten müssen, muss das neue Dataset ebenfalls in derselben Region eingerichtet werden.

  11. Geben Sie im Abschnitt Data source details (Details zur Datenquelle) unter project number (Projektnummer) die entsprechenden Projektnummern kommagetrennt ein. Es werden maximal 10 Projekte in einer Übertragung unterstützt.

Tipp